Hw tokeny (was: Re: SSH jen root)
Michal Dobes
dobes na tesnet.cz
Čtvrtek Květen 2 09:10:22 CEST 2002
Roman DAVID wrote:
> Ja se o to zajimal cca pred rokem.
> Vyrobce mi rekl, ze do 5 klientu je ten sw pro linux free.
> Potrebovalo to ke svoji cinnosti tusim Tacacs+.
Podle toho usuzuji, ze slo o Cryptocard tokeny a jejich server
CryptoAdmin. Ten soft neni pro linux free ani v peti verzich.
Je dostupny v komercnim verzi US RedHat 6.2 (nebo 6.1?).
Umi za tu "cenu" ctyri druhy tokenu, kazdy v 5 licencich, takze
celkem 20, ale soft tokeny pro PC a palma dokaze zlomit i petilete
dite, ke KT-1 tokenu potrebujete programator za 40 kKc, takze zustava
5 tokenu RB-1. :-)
Soucasti CryptoAdminu je i tacacs server a taktez prislusny tacacs
klient (PAM modul) pro umozneni vzdalene autorizace z vicero pocitacu,
takze mateli pevne spojeni mezi temi servery, tak se jeden token
pro vice serveru da pouzit.
Apropo je CryptoAdmin v mem zebricku ten nejhorsi zbastl v teto
kategorii. Obrovskej a linej zbastl v Jave. Pokud by tech tokenu
bylo vice, tak se clovek snad nedocka (pak to chce nasadit Oracle
jako backend a zase to asi pojede svizne).
Mesicni demo se da stahnout z webu http://www.cryptocard.com/ .
Je tam k tomu nekde i softwarovy token.
> Pak jsem se na to vybodnul, protoze to nesplnovalo moje
> pozadavky (jeden token pro vice stroju)
Jak jsem zminil, s tim jejich softem jde jeden token na vicero
serveru pouzit. Pravda je takova, ze to jde i bez toho jejich softu,
pokud mate RB-1 token, tam v chalenge/response rezimu muzete pouzit
serveru kolik chcete. Ten token muze mit v sobe 3 ruzne konfigurace
a pri zapnuti si vyberete jakou chcete, ale o tomhle vyrobce decentne
mlci, takze ani prodejce to nevi, ale je to tak ( at zije reverzni
inzenyrstvi :). IMHO o tom mlci proto, protoze je v implementaci
v tokenu chyba a korektne to funguje jen v chalenge/response rezimu
a ne v sync event. Ale da se to pouzit, protoze pokud budete pouzivat
na vicero serverech stejnou sifru, tak pri kompromitaci jednoho
serveru pak padnou i dalsi.
Pavel Kankovsky wrote:
> IMHO byva nejvetsi problem s tim, ze vyrobce nechce ty tokeny prodat bez
> toho sveho povedeneho softwaru, ktery je na tom ale vetsinou zdaleka to
> nejdrazsi (aspon pokud si tech tokenu nekupujete dvacet tisic).
A take to nejhorsi....
> (Pokud nekdo vi, jak poridit par (<10) rozumnych tokenu za snesitelnou
> cenu, jsem jedno ucho...)
Zeptejte se v Infime na zminovane Cryptocard tokeny RB-1. Nepotrebujete
k nim programator, da se to namlatit z klabosnice na nem. Mozna by sel
pouzit i KT-1, udajne schema programatoru a protokol je verejnym
tajemnstvim. :-) Cena je ve stredu pasma.
Do linuxu pro to soft existuje (PAM modul pam_smxs, drive
pam_cryptocard).
Koukam, ze od doby, co jsem v tom opravil par chyb na to uz rok nikdo
nesahl, bud to teda funguje nebo to nikdo nepouziva. :-)))
Co se mechanicke odolnosti tyce, tak byl druhy nejlepsi (mel jsem
ale jen jeden kus). Nejlepe dopadly Safewood, ale ty uz nejsou prakticky
dostupne (Sefewood i Cryptocard odpovidaji ANSI X9.9, takze s nimi
slape stejny soft).
Co se odolnosti proti zlomeni sifry tyce, tak to neni takova
nezlomitelna
vec. Pouziva to jen 56 bitovy DES, takze potrebujete nachytat vetsi
pocet
chalenge/response sekvenci a pak klic zkusit vypocitat. Horsi to je
v sync event rezimu, tam musite nachytat sekvence po sobe nasledujici
bez der. Bohuzel to nepouziva do toho zadny casovy udaj, ale v beznem
provozu vetsinou se klic zmeni driv, nez nekdo staci nalovit potrebny
pocet autorizaci.
Majkl
Další informace o konferenci Linux